セキュア・コード・インサイト

アプリケーションセキュリティマネージャー、CISO、CIO、サイバーセキュリティの専門家など、私自身のソフトウェア開発とセキュリティにおけるキャリアの中で、世界中のあらゆる種類の企業で働いている彼らの多くと話をしてきました。

状況がどれほど異なっていても、チームがどれほど経験を積んでいても、この絶え間なく変化するデジタル世界でどれだけの時間が経過しても、常に変わらない問題が1つあります。それは、開発チームをセキュリティに積極的に関与させることはめったにないということです。セキュリティはいまだに汚い言葉であり、チーム間の対立や業界の裏側の悩みの種となっています。

しかし、ソフトウェアセキュリティは、私たちの一般的な考え方では、この道を歩み続けるにはあまりにも重要です。セキュリティをすべての開発者の仕事に欠くことのできないものにするために、私たちは議論を変えなければなりません。そのための最善の方法の 1 つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。

現在の風景

開発者は安全なコードの提供に関する実践的な知識をほとんど持たずに大学を卒業し、セキュリティトレーニングが優先されることはめったにない仕事に従事します（優先される場合、それは通常、健康と安全に関する必須のコンプライアンスビデオの一部であり、非常に退屈で、安全なコーディングに関心を持つ人は誰もいないでしょう）。多くの場合、セキュリティに関する最初の経験は、監査やテストのバグレポートで、将来のリリースが突然停止してしまい、創造力が瞬く間に最優先で中断されてしまいます。彼らはセキュリティ報告の責任者と対立しているため、彼らの心の中では「セキュリティ」は「批判」と同義語になっています。くそったれ。

正直なところ、ソフトウェアセキュリティに対するこのような否定的な認識が広まっているのは本当に残念です。結局のところ、私のキャリアの中で最高の思い出のいくつかは、ソフトウェアセキュリティについて学んだことに関するものです。私はハッキングを始めた初期の頃をカンファレンスに出席して過ごしました。そこでは、自分のスキルを同僚とテストする（そして正直に言うと、少し見せびらかす）だけでなく、私と同じくらいソフトウェアを壊すことを楽しんだ、志を同じくする人々と出会うことができてとても楽しかったです。

BruCon、DefCon、BlackHat... これらのイベントは、私のような人たちが友好的な競争で自分たちのスキルを発揮する機会を与えてくれました。このような反社会的な活動に参加したことは絶対に認めませんが、中には他の参加者の電話に侵入し、プレゼンテーション画面に情報を表示して全員に見せることで、ハッキングの腕前を披露する人もいました。ソフトウェアをより良くするために、こうした欠陥を見つけ、悪用して修正するというのがゲームになったのです。数年前、私は中東の何百人もの子供たちの前に立って、サイバーセキュリティについて教える機会に恵まれました。今でも生徒の中に8歳の女の子がいて、ゲームをしながらパスワードのブルートフォース処理とbase64エンコーディングについて学んでいたことを今でも覚えています。

ゲーミフィケーションはコーディングスキルの指導にも使用されます。世界中の教育機関がこのアプローチを利用して、高校生までの非常に幼い子供たちにコーディングを教えています。今では4歳の子どもたちも、次のようなホリデー・イニシアチブに定期的に参加しています。 コードキャンプ、そして子供たちにPythonや他の言語でのコーディング方法を教える素晴らしいオンラインプログラムがたくさんあります。スクリーンレス・コーディング・ツールという素晴らしいツールも購入しました キュベット、私の4歳の娘のために。

しかし、このような楽しさと進歩にもかかわらず、ギャップがあります。ゲーミフィケーションを活用して開発者に安全なコードを書く方法を教える可能性については誰も考えていませんでした。

まあ... ほとんど誰もいません。数年前、セキュリティを再び刺激的なものにし、開発者が参加してプレイを始めるモチベーションを高める必要があることに気づきました。

ゲーミフィケーション:シンプルな方法。

私の中には、セキュリティに関する知識を開発者に高め、力を与えたいという強い意欲があり、この情熱こそが、Secure Code Warriorを開発するきっかけとなりました。ソフトウェア・セキュリティは非常に重要で、本当にワクワクするものでもあります。

考えているのは私だけではありません。

ゲーミフィケーションは、ありふれたタスクをもっともっと楽しくし、プレイを続け、勝ち、進歩したいと思わせるほど人々を飽きさせません。Pokmon Goのやり方を見てください！最も怠惰な人でさえ、屋外で空想上の生き物を探したり、FitBitが歩数を達成することを多くの人の毎日の目標にしたりしています... これらの目標が達成されず、連勝が終わり、バッジを獲得できなかった場合、非常に失望感が襲います。

さて、セキュリティトレーニングに戻りましょう。私たちは、ゲーミフィケーションが組織のセキュリティ文化を真に変革し、アプリケーションセキュリティチームと開発チーム間の架け橋を築き、一般的に高水準のソフトウェア構築を支援するうえで重要であることを多くのクライアントに証明してきました。

今のところ、セキュリティは開発者の優先事項ではありません。親しみやすく、競争力があり、魅力的な要素をトレーニング方法に加えることで、「プレーする」だけでなく、より多くのポイントを獲得し、ハイスコアを破り、より正確になり、仲間のチームメンバーに挑戦するために戻ってこようというモチベーションを高めることができます。

トレーニングが成功すると次のようになることはすでにわかっています。

• 開発者は実際のコードや独自の言語/フレームワークで作業できます
• 課題は短く、一般的なセキュリティの脆弱性をすべて網羅しています
• チャレンジは常に拡張および更新されるため、開発者は時間をかけてスキルを磨き続けることができます。
• 課題の複雑さはさまざまであるため、上級開発者と経験の浅い開発者の両方にとって魅力的です。
• 開発者とそのマネージャーは、完了した課題、長所と短所、トレーニングに費やした時間、全体的な正確性など、進捗状況を確認できます。

ある大手クライアントは、ゲーム化プラットフォームの真の魅力を披露し、開発者にテーマ別のチームギアを用意し、ゲームの勝者に素晴らしい賞品を提供し、トーナメントを本当に忘れられないものにしました。それ以来、彼らは国際大会を開催してきて、今でもチーム全体が真剣なトレーニング時間を費やしています。

あなた自身のソフトウェア革命はここから始まります。オーストラリアの銀行業界は、従来の（または退屈な）トレーニングをひっくり返す真に革新的なアプローチで、不良コードとの闘いにおいてゲーミフィケーショントレーニングの採用を先導しています。クライアントがそのトレーニングで何をしたかをチェックしてみてください 次のレベルのトーナメント。準備はできていますか？ チームをレベルアップ 私たちと一緒に?

私たちは話題を変え、セキュリティをすべての開発者の仕事に欠かせないものにするよう努めなければなりません。そのための最善の方法の 1 つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。

9月3日、私とチームの何人かのメンバーは、主催の素晴らしいセキュリティアワードカンファレンスに出席しました CSO オーストラリア。オーストラリアで初めてのものの1つである 2019 ウーマン・イン・セキュリティ・アワード 業界で最も高く評価されているセキュリティマインドの何人かの素晴らしい集大成でした。これは、サイバーセキュリティにおける女性の貢献を祝うものであると同時に、しばしばスポットライトから外れて素晴らしい仕事をしている女性たちが育んだ素晴らしい才能と革新性を紹介するための待望のプラットフォームでもありました。

Secure Code Warriorのカスタマーサクセス担当副社長（別名チーフ・オーサム）であるFatemah Beydounは、その日に欠かせない存在だったと言っても過言ではありません。彼女は自身の講演を行い、 将来に向けたメンタリング:女性のサイバーセキュリティ人材を育成するために、私たち全員がもっとうまくやれる方法 とても受け入れてくれる聴衆に12分では、彼女が私たちやサイバーセキュリティ業界全体に長年与えてきた影響を明らかにするには十分とは言えませんが、彼女は重大な前向きな変化を見てきました（言うまでもなく）。

よりインクルーシブなアプローチ。

「この業界でキャリアをスタートさせたとき、私は配属されたチームの中で数少ない女性の一人でした」とファテマは言います。ネットワーキングの機会の多くは男性中心だったため、参加して適切な人材と出会い、ビジネスに重要な価値を示すことは困難でした。私はその流れを変え、可能な限りインクルーシブな空間を作ろうと努めました。

たとえば、私は業界のイベントによく参加していましたが、多くの企業のブースでは、ブースに注目を集めるためにプロモーションモデルを採用していました。理論的には問題ありませんが、私は明らかにターゲット市場ではなかったので、しばしば無視されてしまいます。私はキャリアの早い段階でイベントの運営を担当していました。そして、私たちが提供するサービスに注目を集めるために、もっと包括的で楽しい方法を考え出せると誓いました」と彼女は言いました。

ファテマと私は長い間一緒に仕事をしてきましたが、彼女は常に私たちが事業を展開してきた事業における包括性と多様性を擁護してきました。これは常に、チーム内の女性の進路を増やし、重要な貢献が認められ、さまざまなアプローチ、意見、人生の歩みによって仲間が強化されることにつながっています。

「ほら、もちろん、誰も見せかけの女性になりたがらない」とファテマは言った。「しかし、問題は、多様性の低い経営陣の中には、個人レベルで共感できるような、自分に似た人にリーダーシップバトンを渡す傾向があることです。同じ経営幹部は、功績とスキルに基づく条件で女性が貢献することで恩恵を受けることができますが、多くの場合、彼らの意見を聞くのは難しいものです。経営管理チームが、多様性がもたらす強み（そしてそれはジェンダーを超えて）に気づいたら、そのような道を切り開き、組織のために素晴らしい仕事をする準備ができて、意欲があり、能力のある女性の昇進を始めようとする傾向があることがよくあります」と彼女は言いました。

職場の柔軟性：成功の鍵となる要素

自分の会社を始めたとき、チームメンバーが呼吸する余裕があるときに最高の仕事ができるということをすぐに学びました。柔軟性は誰にとっても重要ですが、働く家族を支援する政策は、重要な人材を維持するうえで役立ちます。

ここで最初に導入されたポリシーの1つは、インファント・アット・ワーク・ポリシーでした。これは、アポイントメントに必要な柔軟性と、判断を恐れることなく乳児を職場に連れて行くことができるため、新生児がより早く職場に復帰できるようにするものです。

「母親になるか、キャリアのどちらかを選びたくありませんでした。幼い息子を仕事に連れて行くことができたことは、支えられ、大切にされていると感じさせてくれたので、とてもポジティブな動きでした」とファテマは言いました。「私のスキルは出産後も消えないし、スタートアップの創設メンバーなので、戻ってきたいだけだよ！」

彼女も持っています ABCニュースに話しかけた フレキシブルワークの利点について:

メンター文化が盛んですか？

素晴らしいキャリアを歩み始めて、その勢いを維持するために、メンターを持つことは彼らにとって素晴らしいアイデアです。IT、サイバーセキュリティ、男性優位の多くの分野では、経営幹部レベルの女性は男性と比べてかなりバランスが取れていないため、少し難しいかもしれません。

女性が指導的立場に「自分自身」を見出すことは重要ですが、男性はチーム内の賢い女性を引き上げ、可能な場合はメンターとして参加することでも支援できます。

「リーダーシップチームは、組織の多様化に大きな影響を与えるだけでなく、優秀な女性が他の誰よりもふさわしい評価とキャリアパスを確実に得られるようにすることもできます。ジェットスターのサイバーセキュリティ責任者であるイヴェット・ルジンズ氏に、実際にその様子を見てきました。彼女は女性の擁護者であり、彼女自身の成功と努力を通じてその成果を上げ、他の女性が自信を持ってトップを目指すのを助けてきました」とファテマは語ります。

現状では、セキュア・コード・ウォリアーが従業員100名に達したことを祝ったばかりです。全社で女性が占める割合が 50% を超えていることを誇りに思います。Fatemah はすべての人にとって素晴らしいロールモデルであり、メンターでもあります。

どの企業も、チームの多様化には計り知れない強みがあります。優れたアイデアを優れたアイデアに変えるために必要な秘訣は、さまざまな分野のさまざまな意見です。いつものように、私たちは皆一緒になってより強くなります。

ゴキブリは基本的に何にでも生き残ることができるというよく知られた理論があります。核爆発でさえも。その理論はある程度までしか当てはまりませんが、その単純な体組成により、その大きさの割には非常に丈夫で、ほとんどの条件下で根絶が困難です。

ずっと考えていたのですが... デジタルの世界でゴキブリに匹敵するものがあるとしたら、それはコード内のSQLインジェクション（SQLi）の脆弱性に違いありません。これは20年以上前から知られている脆弱性ですが、組織は何度もその被害に遭っています。広範囲に及んでいるのは、 ターゲットへのコストのかかる攻撃 のインスタンスと同様に、SQL インジェクションの結果でした 選挙ハッキング イリノイ州では、20万件の有権者記録が公開されたため、FBIはすべてのIT管理者にセキュリティ対策の強化に迅速に取り組むよう勧告しました。

インパーバの ハッカー・インテリジェンス・イニシアチブレポート 2005年から2011年の間に、報告されたすべてのデータ侵害の83％でSQLi攻撃が使用されたことが明らかになりました。今日でも、インジェクションの脆弱性は依然として世界における最大の脅威です。 OWASP トップ10。それらは比較的単純ですが、死なないだけです。

これと同じ脆弱性がまだかなりの数のアプリケーションセキュリティスキャンで発生しているのはばかげているようです。私たちはその仕組みや阻止方法を知っています。どうしてそんなことが可能なのでしょう？実のところ、当社のソフトウェアセキュリティには改善の余地が大いにあります。

ベラコード ソフトウェアセキュリティ状況レポート -2017年の40万件のアプリケーションスキャンに基づく」という驚くべき統計が明らかになりました。OWASPのトップ10ポリシーに合格したアプリケーションはわずか30％でした。これは過去5年間一貫したテーマであり、新たにスキャンされたアプリケーションのほぼ3分の1にSQLインジェクションが使われています。これは蔓延している問題の証拠です。私たちは自分たちの過ちから学んでいるわけではなく、CISOは十分なセキュリティ人材を調達するうえで苦しい戦いに直面しているようです。通常、アプリケーション・セキュリティ・スペシャリストと開発者の比率は 1:100 では不十分です。

生命維持装置にソフトウェアセキュリティが採用されているのはなぜですか？

セキュリティの専門家が不足していることは周知の事実ですが、開発者は問題が発生しても修正しておらず、そもそも脆弱性を導入しないための設備が整っていないことは明らかです。同じVeracodeのレポートでは、すべての開発脆弱性のうち、緩和策が文書化されているのはわずか 14.4% であることが明らかになりました。つまり、ほとんどの脆弱性は開発緩和策なしで提出されたということです。最初の 90 日間にクローズされた脆弱性は 3 分の 1 未満で、開発期間内にクローズされなかった脆弱性は 42% でした。

私はいつもセキュリティ専門家、CISO、CEOと話をしていますが、逸話ですが、多くの企業が（誤検知と呼ばれる惨劇に加えて）発見された軽減できない脆弱性の数に不満を感じ、スキャンを完全にやめ、最善の結果を期待していることに気づきました。

なぜアプリケーション・セキュリティ・プロフェッショナルはこのような事態を招くのでしょうか。

間違いありません。AppSecの担当者は、コード内の問題を痛感しています。結局のところ、それが彼らのコアスキルの1つであり、それが彼らを非常に貴重なチームリソースにしているのです。しかし、彼らはしばしばいくつかの要因によって妨げられています。

たとえば、AppSecマネージャーが問題を見つけて、開発者に「コードを修正できますか？」と尋ねます。この重要な質問に対する答えは組織によって異なりますが、一般的に、開発者は厳密な機能提供スプリントへの対応に追われているため、問題を解決する時間も、支援する適切なツールもありません。アプリケーションセックの専門家自身は脆弱性を特定できるかもしれませんが、多くの場合、その場で修正するためのスキルやアクセス権がありません。

また、すべての問題には、解決策を見つけて実装し、テストするというプロセスがあることも認識しておく必要があります。コードに見つかったごくわずかな問題であっても、必要なリソースは言うまでもなく、修正にかかる時間は計り知れません。ソフトウェアには700を超える脆弱性がありますが、1 人の人間がそれらすべてを防御することは不可能です。ほとんどの企業がOWASP Top 10のみに従うことに固執しているのはこのためです。その間ずっと、開発者は機能を構築し続け、ひいては自分が書いたコードに脆弱性を取り込み続けます。

解決策は何か？

単純な事実は、セキュアコーディングを成功させるためのツールやトレーニングを開発者に提供していないということです。開発者に十分なセキュリティスキルを身に付けるよう組織に強制する規制はありません。また、ほとんどの大学やインターンシップでは、ジュニア開発者が安全にコーディングできるように準備していないのも悲しい現実です。

誰かが飛行機を操縦したい場合、飛行前に訓練、実務経験、健康診断、安全知識、試験を確実にするという非常に厳しいプロセスがあります。このような綿密な準備とスキルの検証なしに、空に放り出されるとは誰も想像しませんが、コード作成では日常的にこのようなことが行われています。

開発者に安全なコードを書くための教育に時間を費やす必要があります。しかし、ソフトウェア開発のペースが速く、優秀な開発者やセキュリティ専門家が不足している今日の世界では、それが優先事項になることは決してないようです。今こそ会話を変える時です。

からの最近の見出し 世界経済フォーラム 「セキュリティなくしてデジタル経済はあり得ない」と叫び、付随するコンテンツでは、セキュリティがあらゆるデジタルトランスフォーメーション戦略の中核を成す必要があると主張しています。「セキュリティは企業を保護するものであり、企業がイノベーションを起こし、新しい製品やサービスを構築できるようにするものです。セキュリティは防御的な役割にとどまらず、戦略的な成長における優位性を企業にもたらします。」

安全なコーディングのスキルと成果を向上させることで、組織に強力なサイバー保護が加わり、より優れた、より高速なコードを作成できるようになります。開発者はセキュリティの専門家になる必要はありませんが、サイバー攻撃に対する防御の最前線に立つためには、積極的かつ実践的な権限が必要です。開発者はセキュリティとイノベーションの次のヒーローになることができます。彼らは非常に賢い人々で、創造的な問題解決者であり、一般的にスキルの向上に熱心です。彼らにふさわしい専門的なトレーニングで彼らの強みを活かし、より高いソフトウェアセキュリティ基準に取り組むようにしてください。 ホワイトペーパーを読む もっと調べるために。

誰かが飛行機を操縦したい場合、飛行前に訓練、実務経験、健康診断、安全知識、試験を確実にするという非常に厳しいプロセスがあります。このような綿密な準備とスキルの検証なしに、空に放り出されるとは誰も想像しませんが、コード作成では日常的にこのようなことが行われています。

ポップカルチャーには、悪党AIやロボット、そして人間の主人を攻撃する電化製品についての言及がたくさんあります。サイエンスフィクションの面白さとファンタジーが深く染み込んでいますが、IoT やコネクテッドデバイスが家庭で普及するにつれて、サイバーセキュリティと安全に関する会話も普及するべきです。ソフトウェアは私たちの身の回りのいたるところにあり、イノベーションと利便性をもたらすような巧妙なことをすべて実行するために、どれほどコード行に頼っているかを忘れがちです。Web ベースのソフトウェア、API、モバイルデバイスと同様に、組み込みシステム内の脆弱なコードは、攻撃者が実際に発見すると悪用される可能性があります。

マイクロ波の軍隊が人類を奴隷にする可能性は低いですが（ただし、 テスラボット 少し心配です）サイバー攻撃の結果、悪意のあるサイバーイベントが発生する可能性は依然としてあります。私たちの自動車、飛行機、医療機器の中には、重要なタスクを実行するために複雑な組み込みシステムコードに依存しているものもあり、これらのオブジェクトが侵害される可能性は憂慮すべきだけでなく、生命を脅かす可能性があります。

世に出回っている他の種類のソフトウェアと同様に、開発者は作成段階の最初にコードに触れます。そして、他のすべての種類のソフトウェアと同様に、このコードも、製品が公開される前に検出されない可能性のある、陰湿で一般的な脆弱性の温床になりかねません。

開発者はセキュリティの専門家ではないため、どの企業もそのような役割を担うことを期待すべきではありません。しかし、開発者は自分に関係のある種類の脅威に取り組むための、はるかに強力な武器を身につけることができます。技術ニーズが進化し続けるにつれて、組み込みシステム (通常は C や C++ で書かれている) がより頻繁に使用されるようになり、この環境のツールに関する開発者向けの専門的なセキュリティトレーニングが不可欠です。

爆発するエアフライヤー、悪党車両... 座っているのはアヒルか？

ありますが 一部 すべてのセキュア開発に関する標準と規制が私たちの安全を守るためには、あらゆる種類のソフトウェアセキュリティに向けて、より正確で有意義な進歩を遂げる必要があります。誰かがエアフライヤーをハッキングしたことによって引き起こされる問題を考えるのはとてつもなく思えるかもしれませんが、 それが起こった リモートコード実行攻撃（攻撃者が温度を危険なレベルまで上昇させることを可能にする）という形で、車両の乗っ取りにつながる脆弱性も同様です。

特に車両は特に複雑で、複数の組み込みシステムが搭載されており、それぞれが自動ワイパーからエンジンやブレーキ機能まで、あらゆる微細な機能を処理します。Wi-Fi、Bluetooth、GPSなど、増え続ける通信技術のスタックと絡み合うコネクテッドビークルは、複数の攻撃ベクトルにさらされる複雑なデジタルインフラストラクチャとなっています。そして、 2023年までに世界中で7,630万台のコネクテッドカーが道路を走ると予想されています、それは真の安全を築くための防御基盤の一枚岩です。

ミスラ は、組み込みシステムにおけるコードの安全性、セキュリティ、移植性、信頼性を促進するためのガイドラインを策定し、組み込みシステムの脅威との闘いに積極的に取り組んでいる主要組織です。これらのガイドラインは、すべての企業が組込みシステムプロジェクトで目指すべき基準の北極星です。

ただし、このゴールドスタンダードに準拠したコードを作成して実行するには、セキュリティを意識していることは言うまでもなく、ツールに自信を持っている組み込みシステムエンジニアが必要です。

組込みシステムのセキュリティスキルアップはなぜそれほど具体的ですか?

CおよびC++プログラミング言語は、今日の標準では老年向けの言語ですが、今でも広く使用されています。Embedded C/C++ は組み込みシステムのコードベースの機能の中核を形成し、Embedded C/C++ はコネクテッドデバイスの世界の一部として現代的で輝かしい生活を送っています。

これらの言語にはかなり古いルーツがあり、インジェクションの欠陥やバッファオーバーフローなどの一般的な問題に関しては同様の脆弱性挙動を示していますが、開発者が組み込みシステムのセキュリティバグを真に軽減するには、開発者が作業環境を模倣するコードを実際に使わなければなりません。一般的なセキュリティプラクティスにおける一般的な C トレーニングは、組み込み C コンテキストでの作業に余分な時間と労力を費やす場合ほど強力で記憶に残るものではありません。

現代の車両には数十から100を超える組み込みシステムが組み込まれているため、開発者がIDEで何を探すべきか、どのように修正すべきかについての正確なトレーニングを受けることが不可欠です。
‍

組み込みシステムを1階から保護することは全員の責任です

多くの組織では、少なくとも開発者の責任に関しては、開発のスピードがセキュリティよりも優先されるというのが現状です。安全なコードを作成する能力が評価されることはめったにありませんが、優れた機能を迅速に開発することがゴールドスタンダードです。ソフトウェアに対する需要は増加の一途をたどっていますが、この文化が、私たちが脆弱性とそれに続くサイバー攻撃との戦いに負ける原因となっています。

開発者がトレーニングを受けていなくても、それは開発者のせいではなく、AppSecチームの誰かが、開発コミュニティ全体に適切でアクセスしやすい（評価可能であることは言うまでもなく）スキルアッププログラムを推奨することで、それを埋める手助けをする必要があります。ソフトウェア開発プロジェクトの初期段階では、セキュリティは最優先の考慮事項であり、すべての人、特に開発者が自分の役割を果たすために必要なものを与えられる必要があります。

組み込みシステムのセキュリティ問題を実際に体験する

バッファオーバーフロー、インジェクションの欠陥、ビジネスロジックのバグはすべて、組み込みシステム開発における一般的な落とし穴です。1 台の車両やデバイスに搭載されたマイクロコントローラの迷路の奥深くに埋もれてしまうと、セキュリティの観点から見ると大惨事につながるおそれがあります。

バッファオーバーフローは特に頻繁に発生しています。前に説明したエアフライヤーがどのように危険にさらされたか（リモートコード実行を可能にする）について詳しく知りたい場合は、以下を確認してください。 このレポート CVE-2020-28592について。

それでは、実際の組み込み C/C++ コードで、バッファオーバーフローの脆弱性を実際に体験してみましょう。このチャレンジをプレイして、この厄介なバグの原因となっている貧弱なコーディングパターンを見つけ、特定し、修正できるかどうかを確認してください。
‍

‍

どうだった？訪問 www.securecodewarrior.com 組み込みシステムのセキュリティに関する正確で効果的なトレーニングを行います。

この記事は最初に公開されました DevOps.com。更新および修正されました。

「ブロックチェーン」、「ビッグデータ」、「デジタルディスラプション」と同様に、「DevOps」という用語は、現在大規模組織のIT部門で使われているもう1つの流行語です。

多くの企業が、より明確なワークフローと開発チームと運用ベースのチーム間のコラボレーションを可能にする、ビジネス目標と密接に連携した、より正確なプロセスであるソフトウェア開発ライフサイクルの必要性を（正しく）認識しています。DevOps は本質的に「アジャイル」開発であり、全員が成長し、絶えず革新され、急速に展開される現代のビジネスのニーズに応える準備ができています。セキュリティ専門家にとって、これは素晴らしい取り組みです。はるかに早い段階でセキュリティをプロセスに注入できるため、バグ修正のコストを削減し、将来起こり得る大惨事を回避できます。

問題は、DevOpsの実装に本当に成功している企業はほとんどないということです。ビジネス全体で適切なサポート、育成、理解がなければ、あっという間に白紙の状態になってしまいます。ご存知のように、「戦争は言うまでもない」プロジェクトの 1 つです。

それで、何が問題なの？これは興味深い議論です。DevOps へのアプローチ方法には、はるかにスムーズな移行に役立つと私が信じている方法がいくつかあります。効果的なプログラムとは、いくつかの派手な新しいツール、タイトル、チームミーティングだけでは不十分です。必ずしも簡単なことではありませんが、時間をかけて失敗した戦略を修正する (または最初に正しい方法で実行する) ことで、長期的にははるかに苦痛が軽減されます。そして最終的には、より高品質で安全なソフトウェアが生まれるでしょう。

分解してみましょう:

「アジャイル」エプロンの紐を手放してください。

組織はアジャイルかDevOpsのどちらかを選び、どちらかの道を切り開き、決して振り返らないようにしなければならないという誤解があります。

重要なのは、開発プロセスは、両方を1つにまとめて検討し、実装するときに最もうまく機能することです。DevOps は じゃない アジャイル開発の再発明です。むしろ、アジャイル開発の延長です。プロセスに期待するとホイールが外れてしまいがちです。 まったく同じ アジャイル、または まったく違う アジャイルから。

アジャイルは、デザイナー、テスター、開発者を最初から結びつけ、プロジェクト全体を通してオープンなコミュニケーションラインを約束する、クロスファンクショナルチームの原則をサポートしています。その目的は、サイロ化された配信を止め、二重処理を減らすことであり、どちらもDevOpsプロセスの利点でもあります。しかし、DevOps はさらに一歩進んで、システム、セキュリティ、および運用を組み合わせて、完全で機能的なソフトウェアを顧客に提供することを最終目標とする、堅牢でエンドツーエンドのスキルセットを提供します。

よりDevOps中心のプロセスへの移行という避けられない問題点の中で、サイロ化された開発のリスクが再び高まる可能性があります。多くの場合、元のアジャイルチームが協力して、セキュリティと運用の追加がまだマシンに浸透している状態で、どのように組み込むべきか、何をすべきか、そして全体的な目標について誰も確信を持てません。

DevOpsは、明確に定義された目標、部門を超えたオンボーディング、すべての関係者との直接のコミュニケーションなしには機能しません。慎重な変更管理を必要とする調整期間はありますが、DevOps 機能がもたらす強化について全員の認識を一致させることは、戦いの半分でしかありません。

DevOpsは、プロセスの一環としてセキュリティのベストプラクティスにも重点を置くようになり、そのステップをわかりやすく説明し、セキュリティチームと他の全員との間のギャップを埋めるようになっています（ありがたいことです）。前に述べたように、開発者が最初から安全にコーディングできるようにするにはまだ長い道のりがありますが、DevOps方法論の実装が成功することは、開発チーム内でセキュリティスキルを構築するための優れた基盤となります。

自動化がすべてではありません (また、最も安全というわけでもありません)。

DevOps方法論のもう1つの特徴は、ソフトウェア開発プロセスのある程度の自動化です。継続的インテグレーションと継続的デリバリー (CI/CD) の原則はこの概念の基礎であり、ご想像のとおり、ツールに大きく依存しています。

ツールは素晴らしいです、本当に素晴らしいです。コードリポジトリ、テスト、メンテナンス、ストレージの各要素を比較的シームレスに管理できるため、ソフトウェア配信プロセスにかつてないスピードをもたらすことができます。

しかし、ロボットはいつか私たちの仕事をすべて奪い、私たちを投獄するかもしれませんが、まだ実現していないことは間違いありません。ツールと自動化に大きく依存していると、エラーの可能性が大きく広がります。スキャンやテストですべてが検出されるわけではなく、コードがチェックされないままになることもあり、その結果、品質 (言うまでもなく、セキュリティ) に多大な問題が生じます。攻撃者がデータを盗むために悪用するために必要なバックドアは1つだけです。品質管理やセキュリティ管理における人的要素を見逃すと、悲惨な結果を招く可能性があります。

「ハッピーミディアム」とは、人々のバランスをとることです そして ツール。ツールは、信頼できるチームがプロジェクトの目標を達成するためのアシスタントの役割を果たすべきです。次のことを行う必要があります。

• 選択したDevOpsツールチェーンに慣れるのに十分な時間を割り当ててください
• 効果的なコラボレーション（およびツールがそれをどのようにサポートできるか）に焦点を当てる
• スキル/知識に基づくものであれ、ツールに基づくものであれ、プロセスのあらゆるギャップに対処します。

要するに、「ツールアップ」して最善の結果を期待するだけではいけません。

DevOpsは流行語ではなく、文化です。自社の成長は進んでいますか?

変更管理は最良の時期でも難しいものです。未知への恐れは、最も優秀なチームメンバーでさえもスキルを磨き、視野を広げることを妨げることがあります。

ほら、単に「DevOps をやろう」と言って運用チームにデスクを移動させるだけでは、魔法のようにプロセスを成功させることはできません。多くの人が混乱し、長年勤務してきたチームメンバーは不満を感じるでしょう。期待を伝えることは不可欠であり、「歩みを進める」ことも重要です。DevOps は開発方法論であると同時に文化的なムーブメントでもあります。チームは部門横断的で協調的な考え方を貫くべきです。

優れた DevOps カルチャーとはどのようなものでしょうか?

• リーダーだけでなく、個人が自分の専門知識をプロセスに活かす権限を与えられる
• チーム間のオープンで誠実で敬意のあるコミュニケーション
• 開発プロセスに品質とセキュリティを組み込むという全体的な目標については、各自が責任を負います。
• ビジネスにおけるDevOpsの定義、ロードマップ、各人の役割の方法/内容/理由について、全員が同じ認識を持っています。

私は長年、開発チームでポジティブなセキュリティ文化を構築することの重要性を強調してきましたが、DevOpsも例外ではありません。

セキュリティのベストプラクティスを達成し、発見された脆弱性が減少していることを確認し、データ保護の重要性にチームの目を向けるには、適切なツール、知識、サポートが不可欠です。DevOps では、ポジティブな変化を実現するための文化的な基盤を築く必要があります。つまり、全員が自分の役割、価値、期待、プロジェクト全体の目標、プロセスのステップを理解できるようにする必要があります。

それをマスターしたの？素晴らしい。それでは、方針を転換して、セキュリティ面をさらに強化して、DevSecOpsをソフトウェア・エクセレンスの究極の計画にしましょう。

つまらない、つまらない、つまらない！これは、セキュア・コード・トレーニングについて言及されるたびに、開発者からよく聞く回答の 1 つです。Secure Code Warriorでは、もっと良い方法があるはずだと考えているため、安全なコーディング、安全なコード慣行、およびセキュリティ運用に対する開発者の態度を調査するために、Evans Data Corp. と協力して一次調査を行いました（ホワイトペーパーをダウンロード）。 ここに)。

間もなくリリースされる予定の 対応から予防への移行:アプリケーションセキュリティの様相の変化、開発者に現在のセキュアコードトレーニングの主な問題について尋ねたところ、答えは明らかでした。

開発者を失望させるトレーニング

調査対象開発者の 40% セキュアコーディングは真空中で教えられているように感じました。別の40％は、トレーニングが理論的すぎて、仕事とは関係がなく、「実践的」では不十分だと感じていました。30% は、毎日取り組んでいる言語、フレームワークのトレーニングが不足していると回答しました。これは深刻です。というのも、現在のセキュア・コード・トレーニングは文脈的に無関係であり、開発者が日常的に行っていることと意味のある関係がないことを教えてくれるからです。

多くの開発者にとって、彼らの主な課題は、気が遠くなるようなハンズオフのアクティビティの間、目を覚まし続けることです。これらのアクティビティは、効果的でもなく、セキュリティを最優先に考えようともしません。‍

孤立した環境でトレーニングを行うと、開発者は研究室と現実の世界との間を認知的に結びつけることができなくなります。

開発者がセキュア・コード・トレーニングに求める3つのこと：

1. 圧倒的に、開発者は、より実践的で、より状況に応じた日常業務に役立つトレーニングを求めていると答えています。
2. 開発者の 65% が、より多くのトレーニングが必要だと答えています 言語固有の脆弱性 と OWASP トップ10。
3. 調査対象の開発者の 75% は、体系的な実地研修を希望しています。

開発者を元気づけるトレーニング

OJT（実地研修）に関しては、開発者はある程度の経験と既存の知識を持ち合わせています。これは、「足場に基づいた」学習が必要であることを示しています。これは、開発者がすでに知っている内容に基づいて構築された、つまり足場のあるトレーニングです。足場型教育は、これまでの経験を活気づけ、向上させると同時に、新しいスキルを少しずつ身につけ続けます。そのため、実地学習に最適な手段となります。

定着するスキルの伝達

開発者のセキュリティトレーニングに関しては、開発者は理論に基づいた静的学習という骨の折れる作業よりも、実践による学習方法を好むことがわかっています。その意味では、関連性が高く、状況に応じた環境で安全にコーディングする方法を学ぶことが重要です。セキュア・コーディングにおける変革の推進者として、Secure Code Warriorは、開発者が現実世界で直面しているような課題について、関連するプログラミング言語とフレームワークについて、状況に応じた実践的な教育を行っています。学習コンテンツには、重要なOWASPトップ10、OWASPモバイルトップ10、OWASP APIセキュリティトップ10、CWE/SANSトップ25など、147種類以上の異なる脆弱性タイプを対象とした5,500を超える課題とミッションが含まれています。

チームへの潜在的な影響と、安全なコードをより迅速に提供する能力を確認したい場合は、 デモを予約 今。

大、。デジタルバーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーパーキング。大家、イルアDevOps 親和和和和物大和和和物番付録ジャニニセブンキラー。この世は、サニーとサモナーザザザザプンチャチャプサン、ティシャレニニニササササカノザザザン。、しかし、それまで来なかったかぎりぎりぎりぎりぎりぎりや（そして年、いのちばしろっくり）、マフィナシダチダイ。

2008 KRWODELYAMさん、そちらっくり、んなそりゃ。1:100 到到十分しろよ。専有の「2008」

Secure Code Warriorのディレクター（米州）Stephen AllorとCapital OneLwecのLuss Wolfeshinali、DevOpssWalfewecwalisionali、DevOpssWorfewebalisionali、DevOpssWarrierwinalinと、Capital One Warrior's Warriorの（米州）Stephen AllorとCapital OneWorfewecwinali、Stephelwwwecyi、Capital One Warriorの制度（米州）とCapital One Worfewperinalyで、Stephen Allor

さようならしら。

• Techerの「ブラックコー」の芝生会
• 10年前とと今日にちなんでした
• せつの「rekox」appsec×ex x、および etreぜぜぜぜきめきりぜぜぜんぜんぜんぜんぜんぜんぜんぜんぜんめん
• 大成成にバジタカサカサカサク。ビービーアスター、ビービーとコンビニ、ビービービーク。
• 大成の為為為成成成成成成為為為為為為為生 (およびみみそくれいつ)
• 2泊8時輪輪輪輪輪車、新品同様
• プレチキントーナダマジンとめめと、ブタキニエコーダ/金金金金金金金金とずれ
• ソフトウェアにおける脆弱性の増加とその根本原因
• 、
• 大西洋競馬でもかじりと、新酒でもめしでずずぶしゅう
• おかしくなりなりましたが、ごめんごとなごめんごと、「みっくり」と、「みだっけ」
• キャピタル・ワンのラス・ウルフさんごっくしょんが、4億円のフィフィダダダダダダダダダダダダダダダダダダダダダダダダダダダダダダダダダそして、かえって、、金魚座で学び、ちっこうごめんなさい。
• 無、品保持、
• inセンブルは、新品同様、めちゃくちゃめも、
• 講演

ヘビナというサドで、シャドウ、SideaSc DainDaNeDi Déh2KeparとShaging Déhda.hdigKe/inda.hdigKeで成り立つ。

Capital Oneのような場所で、DurfstonJoquitoquiturfuriy、「exedaKitaJerquid」

サイバーセキュリティ攻撃の増加とその巧妙化は、世界中のあらゆるセクターと業界に変化をもたらしています。誰もが「左にシフト」し、できるだけ早くすべてのプロセスと手順にセキュリティを組み込もうとしています。この状況は、サイバー防御の強化を目的としたまったく新しい動きをも助長しています。 DevSecOps など新しいソフトウェアやアプリケーションの作成という構造そのものにセキュリティが組み込まれています。

こうした変化の多くは、開発者コミュニティの足元に降りかかっています。新しいソフトウェアやアプリケーションの作成、作成、コーディングを行うのは彼らなので、より安全なコーディング方法を採用するよう彼らに求めるのは素晴らしいアイデアのように思えます。結局のところ、新しいアプリケーションが最初に作成されたとき以外は、左にシフトすることはできません。

しかし、開発者コミュニティはその責任についてどう感じているのでしょうか。従来、開発者はコーディングの速さだけで評価されてきましたが、セキュリティチャンピオンとしての新しい役割について、開発者は現在どう考えているのでしょうか。そして、自社の経営陣は、質の高いトレーニング、充実した報酬、そしてこの重要な新しい責任を引き受けたことに対してふさわしい評価を得て、こうした取り組みを支援していると感じているのでしょうか？

2年目となる今回は、Evans Data Corp. と提携して、セキュアコーディング手法に関するスキル、認識、行動、およびそれらがソフトウェア開発ライフサイクル（SDLC）に与える影響と関連性について、世界の開発者コミュニティを対象に包括的な調査を実施しました。結果は多くの点で非常に驚くべきものでした。

2022年の開発者主導型セキュリティ調査の現状

「セキュア・コード・ウォリアーの開発者主導型セキュリティの現状調査」は、2021年12月にEvans Data Corpによって実施されました。アジア太平洋地域、ヨーロッパ、北米で働く1,200人の現役ソフトウェア開発者に、ソフトウェアコーディング、セキュリティ意識、トレーニング、サポート、モチベーション、その他の問題に関する質問が行われました。調査は英語で行われ、正確なグローバルな視点を得るために必要に応じて翻訳されました。調査の回答者には、新しいアプリケーションを作成している開発者だけでなく、開発コミュニティ内のマネージャーも含まれていました。

いくつかの驚くべき発見

調査のあらゆる側面を掘り下げた詳細なホワイトペーパー（ソフトウェア・セキュリティを向上させるための課題（および機会））とレポート（「開発者主導型セキュリティの現状」、2022年）は、4月11日（月）に発表される予定です。。このホワイトペーパーには、安全なコーディング手法に関してコミュニティから寄せられた調査結果と懸念の分析と、開発チームがソフトウェアセキュリティを向上させるための組織への推奨事項が記載されています。

これらの課題の中には、自分の組織で開発者と関わっている人だけでなく、開発コミュニティにいる人にも疑問を投げかけるものがあります。確かに私たちのためにもありました。

たとえば、今日の最優先事項としてアプリケーションセキュリティを挙げている回答者はわずか14％でした。代わりに、アプリケーションパフォーマンスや機能の優先順位付けなど、より伝統的な指標が引き続き全体的な焦点となっています。

セキュリティの優先度は非常に低かったため、調査対象の開発者の 67% が、既知の脆弱性やエクスプロイトをコードに日常的に残していると回答しました。その理由は、締め切りが厳しい、セキュリティよりも機能を優先している、あるいは単にセキュリティ問題を解決する方法について必要なトレーニングや知識を持っていなかったからです。

多くの場合、開発者は、自社の組織がセキュアコードの構成要素を定義しておらず、状況を変えるための適切なトレーニングやサポートを提供していないと述べています。

しかし、いくつかの否定的な調査結果にもかかわらず、態度が変化していることも明らかでした。開発者の大多数 (66%) は、今後12～18か月でセキュリティがより優先されるようになると予想していました。一方、調査に回答した採用マネージャーの 82% は、セキュリティについて知らない開発者よりもセキュリティを知っている開発者を採用することに関心を示しました。

調査結果から、開発者コミュニティと彼らが協力する組織が大きな変化に直面していることは明らかですが、ありがたいことに、短期的および長期的な将来の計画も急速に形になりつつあります。

現在の安全なコーディング手法に関する課題や、組織が開発者のセキュリティスキル、そして最終的にはソフトウェアセキュリティを向上させるために利用できる機会について、調査結果の詳細を詳述したホワイトペーパーとレポートにご期待ください。

をチェックしてください セキュア・コード・ウォリアー ブログページでは、サイバーセキュリティ、つまりますます危険になる脅威環境についての洞察を深め、革新的なテクノロジーとトレーニングを採用して組織と顧客をよりよく保護する方法について学ぶことができます。

‍

ここ数年、ネットワークセキュリティ、数テラバイトに及ぶ機密性の高い顧客データ、貴重なブランド評判など、市場投入までの時間を短縮するために、多くのことが犠牲になっています。 新機能のリリースを加速させなければならないという強い圧力により、複雑で分散したチームは、発生する可能性のある脆弱性や莫大なリスクをほとんど認識せず、迅速な開発に集中するようになりました。これまで以上に、新しい働き方が求められています。そこで、Secure Code Warrior は 2020 年に Evans Data Corp. と協力して、安全なコーディング、安全なコードプラクティス、およびセキュリティ運用に対する開発者とそのマネージャーの態度を調査*しました（ホワイトペーパーをダウンロードする）。 ここに)。

プロジェクト成功のパフォーマンス指標 — セキュリティはどこに適しているのか?

開発者と管理者は、安全なコードを持つことは重要だと考えていますが、他の要素ほど重要ではありません。開発者とマネージャーに、ソフトウェア開発プロセスにおける最も重要な優先事項について尋ねたところ、

• 76% がノミネートされたアプリケーションのパフォーマンス
• 62% が特徴と機能を選択しました
• そして、50％強の安全なコードが選択されました
  

プロジェクトの成功を示す他のパフォーマンス指標と比較すると、セキュアコーディングは現在のところ3分の1にランクされています。

現在、そしておそらく驚くことではないでしょうが、開発者はプロジェクトの終了後にのみコードを評価するパフォーマンス指標に基づいてプロジェクトの成功を判断しています。

しかし、これが将来どのように変化するかについて尋ねると、状況はひっくり返ります。組織がセキュリティを成功の指標として捉える方法は変化しています。安全なコーディングは最優先事項になりつつあります。

将来のプロジェクトの成功を測定する上で最も重要な優先事項について尋ねたところ、調査対象者の 79% が、安全なコーディングの重要性が増すだろうと回答しました。驚くべきことは、将来におけるセキュリティの重要性が他のどのパフォーマンス指標よりも高まると回答した回答者がかなり多いことです。セキュア・コーディングに対する意識が高まっており、「シフティング・レフト」への動きも高まっています。その性質上、セキュア・コーディングを実践するということは、SDLCのかなり早い段階でセキュリティを考慮することを意味します。つまり、セキュリティを後回しにするのではなく、最初から書かれているとおりのソフトウェアに積極的に組み込むということです。

CIOが組織の俊敏性を高めようと努力するにつれて、安全なコーディング能力は重要なイノベーションの武器になるでしょう。CIO と CISO は、開発チームがリスクの最前線なのか、防御の最前線なのかを慎重に検討する必要があります。

この洞察は、組織が開発者をどのようにトレーニングするかに重大な影響を及ぼします。チームは最近特定された脆弱性について学び、それぞれの言語やフレームワークで学ぶ必要があります。つまり、日常業務の中で、コード内の既知の脆弱性を発見し、特定し、修正する方法を理解する必要があります。

Secure Code Warriorは、安全なコーディングにおける変化の推進者として、開発者に安全なコーディングスキルの習得と構築を積極的に促す人間主導のアプローチを採用しています。セキュリティを損なうことなく、左利きで安全なコードをより早くリリースするチームの能力にどのような影響があるかを知りたい場合は、 今すぐデモを予約してください。

‍

‍*対応から防止への移行：アプリケーションセキュリティの様相は変わりつつあります。 セキュア・コード・ウォリアーとエバンス・データ・コーポレーション 2020